Tato příručka obsahuje podrobné pokyny, jak zablokovat úložná zařízení USB v celé doméně nebo u konkrétních uživatelů domény pomocí zásad skupiny v doméně AD 2016 nebo 2012. Přesněji řečeno, po přečtení pokynů v této příručce se dozvíte, jak zabránit přístupu k jakémukoli úložnému zařízení USB (flash disky, externí pevné disky, chytré telefony, tablety atd.), které se mohou připojit k jakémukoli počítači v doméně nebo odepřít přístup k úložišti USB pouze konkrétním uživatelům domény.
Dnes mnoho z nás používá k přenosu dat paměťové zařízení USB. Pro organizaci však může schopnost jejích zaměstnanců používat externí úložná zařízení obsahovat bezpečnostní rizika, jako je šíření malwaru nebo zachycení citlivých dat. Chcete-li se těmto rizikům vyhnout, můžete si přečíst následující pokyny k blokování přístupu k úložným zařízením USB všem uživatelům a počítačům ve vaší doméně nebo pouze uživatelům určitých domén pomocí zásad skupiny. *
* Poznámky:
1.Chcete-li v tomto příspěvku blokovat jednotky USB prostřednictvím zásad skupiny,
k vytvoření nových zásad skupiny jsme použili řadič domény Active Directory 2016 a k jejich použití jsme použili pracovní stanice Windows 10 Pro a Windows 7 Pro.
2. Zásada "Blokovat USB přístup" neovlivní administrátory domény ani žádné jiné připojené USB zařízení, jako jsou USB klávesnice, myš, tiskárna atd.
3.Po použití zásad skupiny nebudou mít uživatelé přístup k žádnému typu paměťového zařízení USB a při pokusu o přístup k úložnému zařízení USB na svém zařízení obdrží jednu z následujících chybových zpráv PC.
Jak používat zásady skupiny k zabránění přístupu k úložným zařízením USB (Server 2012/2012R2/2016)
- Část 1. Blokovat přístup USB pro čtení/zápis všem uživatelům domény.
- Část 2. Blokovat přístup pro čtení/zápis přes USB pro určité uživatele domény.
Část 1. Jak blokovat přístup k úložným zařízením USB v celé doméně 2016.
Chcete-li zakázat přístup k libovolnému připojenému úložnému zařízení USB k libovolnému počítači (uživateli) v doméně:
1. V řadiči domény Server 2016 AD otevřete soubor Správce serveru a pak od Nástroje otevřete nabídku Správa zásad skupiny. *
* Kromě toho přejděte na Kontrolní panel -> Administrativní nástroje -> Správa zásad skupiny.
2. Pod domény, vyberte svou doménu a poté klikněte pravým tlačítkem myši na Výchozí zásady domény a vybrat si Upravit.
3. V „Editoru správy zásad skupiny“ přejděte na:
- Konfigurace uživatele > Zásady > Šablony pro správu > Systém > Přístup k vyjímatelnému úložišti
4. V pravém podokně dvakrát klikněte na: Vyměnitelné disky: Odepřít přístup ke čtení. *
* Poznámky:
1. Mnoho tutoriálů v tomto bodě naznačuje Umožnit 'Všechny třídy vyměnitelného úložiště: Odepřít veškerý přístup' zásady, ale během našich testů jsme zjistili, že tato zásada neplatí (nefunguje) pro chytré telefony nebo tablety.
2. Pokud chcete zablokovat přístup USB Write, vyberte možnost Vyměnitelné disky: Odepřít přístup pro zápis.
5. Šek Povoleno a klikněte OK.
6. Zavřít editor zásad skupiny.
7. Restartujte server a klientské počítače nebo spusťte gpupdate /force k použití nového nastavení zásad skupiny (bez restartu) na server i klienty.
Část 2. Jak zabránit přístupu k úložným zařízením USB u konkrétních uživatelů domény.
Chcete-li zakázat přístup k úložným zařízením USB pouze konkrétním uživatelům pomocí zásad skupiny, musíte vytvořit a seskupit s uživateli, kteří nechtějí mít přístup k úložným zařízením USB, a poté na ně použít novou zásadu skupina. Udělat to:
Krok 1. Vytvořte skupinu s zakázanými uživateli USB. *
* Poznámka: Pokud jste již vytvořili skupinu s zakázanými uživateli USB, pokračujte krok 2.
1. Otevřeno Uživatelé a počítače služby Active Directory.
2. Klikněte pravým tlačítkem na "Uživatelé" objekt v levém podokně a vyberte Nový > Skupina
3. Zadejte název nové skupiny (např. „USB Disabled Users“) a klikněte OK. *
* Poznámka: Nechte zaškrtnuté možnosti 'Globální' a 'Zabezpečení'.
4. Otevřete nově vytvořenou skupinu, vyberte členové kartu a klepněte na tlačítko Přidat
5. Nyní vyberte uživatele, ve kterých doménách chcete zablokovat úložná zařízení USB, a poté klikněte OK.
6. Klikněte OK zavřít vlastnosti skupiny.
Krok 2. Vytvořte nový objekt zásad skupiny pro zakázání úložných zařízení USB.
1. Otevři Správa zásad skupiny.
2. Pod objektem 'Domains' klikněte pravým tlačítkem na svou doménu a vyberte Vytvořte GPO v této doméně a propojte jej zde.
3. Zadejte název nového GPO (např. „USB zakázáno“) a klikněte OK.
4. Klepněte pravým tlačítkem myši na nový objekt GPO a klepněte Upravit.
5. V „Editoru správy zásad skupiny“ přejděte na:
- Konfigurace uživatele > Zásady > Šablony pro správu > Systém > Přístup k vyjímatelnému úložišti
4. V pravém podokně dvakrát klikněte na: Vyměnitelné disky: Odepřít přístup ke čtení. *
* Poznámka:
1. Mnoho tutoriálů v tomto bodě naznačuje Umožnit 'Všechny třídy vyměnitelného úložiště: Odepřít veškerý přístup' zásady, ale během našich testů jsme zjistili, že tato zásada neplatí (nefunguje) pro chytré telefony nebo tablety.
2. Pokud chcete zablokovat přístup USB Write, vyberte možnost Vyměnitelné disky: Odepřít přístup pro zápis.
5. Šek Povoleno a klikněte OK.
6. Zavřít a Editor správy zásad skupiny okno.
7. Zpět na „Správa zásad skupiny“ vyberte GPO „USB zakázáno“ a na kartě „Rozsah“ klikněte na Přidat (v nastavení 'Filtrování zabezpečení').
8. Zadejte název skupiny „Uživatelé s zakázaným rozhraním USB“ (např. „Uživatelé s zakázaným rozhraním USB“ v tomto příspěvku) a klikněte na OK.
9. Až budete hotovi, vyberte Delegace tab.
10. Na kartě Delegace vybrat a Ověření uživatelé a klikněte Pokročilý.
11. V možnostech zabezpečení, vybrat a Ověření uživatelé a zrušte zaškrtnutí a Použít zásady skupiny zaškrtávací políčko. Až budete hotovi, klikněte OK.
6. Zavřít editor zásad skupiny.
7. Restartujte server a klientské počítače nebo spusťte "gpupdate /force" (jako správce), chcete-li použít nové nastavení zásad skupiny (bez restartování) na server i klienty.
A je to! Dejte mi vědět, zda vám tento průvodce pomohl, a zanechte svůj komentář o své zkušenosti. Lajkujte a sdílejte tento návod, abyste pomohli ostatním.